情報セキュリティ10大脅威 2025が公開 組織編に新項目がランクイン：セキュリティニュースアラート

IPAは2024年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2025」として公開した。今回、組織編では従来にはなかった新しい脅威項目がランクインした。確認の上、対応が急がれる。

[田渕聖人，ITmedia]

　情報処理推進機構（IPA）は2025年1月30日、2024年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2025」として公表した。

　情報セキュリティ10大脅威は、2024年に発生したセキュリティ事故や攻撃の状況などからIPAが候補を選定し、それを情報セキュリティ分野の研究者び企業の実務担当者など約200人のメンバーで構成する「10大脅威選考会」の投票を経て決定された。個人と組織の双方の「10大脅威」が公表されている。

情報セキュリティ10大脅威 2025が公開　今回新たに加わった脅威とは？

　発表された10大脅威の組織編は以下の通りだ。今回は組織編に新たな脅威項目がランクインした。

　【組織向け10大脅威】（ランキング順）

1. ランサム攻撃による被害
2. サプライチェーンや委託先を狙った攻撃
3. システムの脆弱（ぜいじゃく）性を突いた攻撃
4. 内部不正による情報漏えいなど
5. 機密情報などを狙った標的型攻撃
6. リモートワークなどの環境や仕組みを狙った攻撃
7. 地政学的リスクに起因するサイバー攻撃
8. 分散型サービス妨害攻撃（DDoS攻撃）
9. ビジネスメール詐欺
10. 不注意による情報漏えいなど

　組織向け脅威については、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は前年と順位は変わらなかった。一方で前年7位の「システムの脆弱性を突いた攻撃」が3位に順位を上げた。これは、前年5位の「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」を今回「システムの脆弱性を突いた攻撃」に統合した影響が一因として考えられる。

　この他、今回新設された「地政学的リスクに起因するサイバー攻撃」が7位に選出された。IPAによると、地政学的リスクとは、地理的条件に基づいた国や地域の政治や軍事などに関わるリスクのことであり、具体的には「MirrorFace によるサイバー攻撃について（注意喚起）」に記されているような国家の関与が疑われるサイバー攻撃が該当するという。

　これ以外にも年末年始に発生した「分散型サービス妨害攻撃（DDoS攻撃）」が2020年以来再びランクインしている点も注目される。

　IPAは「組織向け脅威は、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのかを洗い出すことが重要だ」とコメントした。

　10大脅威の個人編は以下の通りだ。

　【個人向け10大脅威】（五十音順）

• インターネット上のサービスからの個人情報の窃取
• インターネット上のサービスへの不正ログイン
• クレジットカード情報の不正利用
• スマホ決済の不正利用
• 偽警告によるインターネット詐欺
• ネット上の誹謗・中傷・デマ
• フィッシングによる個人情報等の詐取
• 不正アプリによるスマートフォン利用者への被害
• メールやSMS等を使った脅迫・詐欺の手口による金銭要求
• ワンクリック請求などの不当請求による金銭被害

　IPAは「個人向け脅威は全て前年と変化がなかった。しかし、前年と同じ脅威であっても取り巻く環境も同じというわけではない。攻撃者は手口を進化させ、特に社会的に注目されるニュースや生成AIなどの新技術を巧妙に利用して、日々新たな攻撃を仕掛けている。常日頃から脅威に関する最新情報に注意を払い、手口を知っておくことが重要になる」と述べた。

　「情報セキュリティ10大脅威 2025」の詳細な説明は2月下旬にIPAのWebサイトでの公開が予定されている。